Insights sur la configuration du masquage d'adresses IP GKE

Cette page décrit les insights de Network Analyzer pour la configuration du masquage d'adresses IP dans Google Kubernetes Engine (GKE). Pour en savoir plus sur tous les types d'insights, consultez la section Groupes et types d'insights.

Network Analyzer détecte la configuration ip-masq-agent et la compare aux plages CIDR des pods du cluster.

Une partie de la plage CIDR du pod est manquante dans le ConfigMap

Les plages CIDR du pod semblent manquer dans le ConfigMap de la configuration ip-masq-agent déployée sur votre cluster GKE. Cela correspond au message d'avertissement suivant : nonMasqueradeCIDRs du ConfigMap ip-masq-agent du cluster ne couvre pas entièrement les plages CIDR des pods. Cela signifie que le trafic infra-cluster entre les pods utilise l'adresse IP du nœud source pour la traduction d'adresses réseau source (SNAT), ce qui peut entraîner des problèmes de connectivité lorsqu'un pare-feu ou une règle de réseau est en place.

Cet insight inclut les informations suivantes:

  • ConfigMap ip-masq-agent: ConfigMap du composant ip-masq-agent.
  • nonMasqueradeCIDRs: champ qui spécifie une liste de plages d'adresses IP de destination au format CIDR pour lesquelles le SNAT de l'adresse IP source est désactivé.
  • CIDR du pod: la plage CIDR du pod est un bloc d'adresses IP dédié réservé exclusivement à l'attribution d'adresses IP uniques aux pods du cluster. Chaque pod exécuté dans le cluster reçoit sa propre adresse IP à partir de cette plage, ce qui permet la communication réseau.

Pour en savoir plus, consultez les pages Agent de masquage d'adresses IP et Configurer un agent de masquage d'adresses IP dans les clusters standards.

Recommandations

Vérifiez la valeur du CIDR du pod attribué au cluster, puis modifiez le ConfigMap ip-masq-agent pour inclure toutes les plages CIDR du pod dans le champ nonMasqueradeCIDRs. Inclure les plages CIDR des pods permet de s'assurer que le trafic au sein du cluster n'est pas soumis au masquage IP.

Une partie de la plage CIDR du pod est manquante dans le ConfigMap, et le SNAT par défaut est désactivé

Le SNAT par défaut est désactivé dans votre cluster GKE en raison de l'indicateur --disable-default-snat=true, et la configuration ip-masq-agent autodéployée gère les règles de masquage d'adresses IP à la place. Il est possible que votre configuration personnalisée pour le ConfigMap ip-masq-agent n'inclue pas correctement les plages CIDR des pods. Cela correspond au message d'avertissement suivant : Le nonMasqueradeCIDRs du ConfigMap ip-masq-agent du cluster ne couvre pas entièrement les plages CIDR des pods, et l'option disable-default-snat est définie sur true. Par conséquent, le trafic du pod risque de ne pas être correctement masqué conformément à votre stratégie.

Cet insight inclut les informations suivantes:

  • ConfigMap ip-masq-agent: ConfigMap du composant ip-masq-agent.
  • nonMasqueradeCIDRs: champ qui spécifie une liste de plages d'adresses IP de destination au format CIDR pour lesquelles le SNAT de l'adresse IP source est désactivé.
  • CIDR du pod: la plage CIDR du pod est un bloc d'adresses IP dédié réservé exclusivement à l'attribution d'adresses IP uniques aux pods du cluster. Chaque pod exécuté dans le cluster reçoit sa propre adresse IP à partir de cette plage, ce qui permet la communication réseau.
  • custom config (configuration personnalisée) : la configuration personnalisée pour le ConfigMap ip-masq-agent écrase la liste nonMasqueradeCIDRs par défaut. Votre configuration personnalisée remplace entièrement les plages par défaut fournies par l'agent.
  • Option disable-default-snat: l'option --disable-default-snat modifie le comportement SNAT par défaut de GKE de manière à ce que les adresses IP des pods sources soient conservées pour les paquets envoyés à toutes les destinations.

Pour en savoir plus, consultez les pages Agent de masquage d'adresses IP et Configurer un agent de masquage d'adresses IP dans les clusters standards.

Recommandations

Vérifiez la valeur du CIDR du pod et de la configuration personnalisée attribuée au cluster. Modifiez le ConfigMap ip-masq-agent pour inclure toutes les plages CIDR des pods dans le champ nonMasqueradeCIDRs. Inclure les plages CIDR des pods permet de s'assurer que le trafic au sein du cluster n'est pas soumis au masquage IP.